Seguridad · Identidad corporativa · ENS · NIS2

SSO en Dokuflex: Active Directory, ADFS, OAuth, SAML, CAS y 2FA — todos los estándares de autenticación empresarial

Conectar un BPM con la identidad corporativa no debería ser un proyecto de seis meses. Dokuflex soporta de forma nativa Active Directory, ADFS, SAML 2.0, OAuth 2.0/OpenID Connect con Google y Microsoft Entra ID, Okta, CAS y 2FA.

Se configura desde un panel, conserva la auditoría exigida por ENS Alta y NIS2, y permite mezclar varios proveedores (empleados internos + partners externos) sin duplicar identidades.

Hablar con un técnico Ver arquitectura de seguridad
Resumen ejecutivo
  • 10+ protocolos soportados out-of-the-box (AD, ADFS, SAML, OAuth, OIDC, CAS, LDAPS, Kerberos, FIDO2).
  • <1h para conectar un Active Directory estándar.
  • Multi-IdP: empleados, partners y proveedores con políticas separadas.
  • 2FA/MFA por rol, IP, sensibilidad de acción y origen de red.
  • ENS Alta · NIS2 · ISO 27001 · RGPD alineados.
D
Equipo Seguridad de Dokuflex
Actualizado: 20 mayo 2026

Para CISOs, IT Managers y arquitectos de identidad. Esta guía es técnica y específica de Dokuflex. Si necesitas detalles concretos de tu IdP (claims, scopes, endpoints), tu Customer Success Manager los facilita en menos de 24h.

Por qué un BPM necesita SSO empresarial

Un BPM gestiona expedientes, contratos, facturas, firmas y aprobaciones. Es decir: datos personales, financieros y legales. Cada usuario que se autentica fuera del perímetro corporativo es un vector de riesgo y una identidad más que mantener.

Sin SSO se acumulan cuatro problemas: contraseñas débiles o reutilizadas, exempleados con acceso vigente, auditoría imposible de cruzar con el SIEM corporativo, y ralentización del alta/baja de personal (semanas, no minutos).

Con SSO conectado a tu fuente de verdad (Active Directory, Entra ID o Google Workspace), la baja de un empleado en RRHH desactiva el acceso en Dokuflex en el mismo ciclo de aprovisionamiento. Sin tickets, sin Excel.

Tabla de protocolos soportados

Lo que está cubierto de fábrica, sin desarrollo a medida ni módulos premium ocultos:

Protocolo / estándar Caso de uso típico Soporte
Active Directory (LDAP/LDAPS) Autenticación contra el AD corporativo on-premise o híbrido. ✓ Nativo
ADFS (Active Directory Federation Services) Federación SAML/WS-Fed sobre AD para entornos Windows Server. ✓ Nativo
SAML 2.0 SSO estándar con cualquier IdP SAML (Okta, OneLogin, Ping, Auth0, Keycloak…). ✓ Nativo
OAuth 2.0 + OpenID Connect (OIDC) Autenticación moderna con flows authorization-code + PKCE. ✓ Nativo
Microsoft Entra ID (antes Azure AD) SSO con Microsoft 365, Conditional Access, claims y grupos. ✓ Nativo
Google Workspace SSO con cuentas Google corporativas vía OIDC o SAML. ✓ Nativo
CAS (Central Authentication Service) SSO típico de universidades y AA.PP. con CAS 3.x. ✓ Nativo
Kerberos / SPNEGO Single sign-on transparente en intranet con sesión Windows. ✓ Nativo
2FA / MFA TOTP (Google Authenticator, Authy, Microsoft Authenticator), SMS, email, push. ✓ Nativo
WebAuthn / FIDO2 Passkeys, YubiKey y autenticadores biométricos para administradores. ✓ Nativo
Certificado digital + DNIe Autenticación con tarjeta criptográfica (AC FNMT, ACA, ANCERT, Camerfirma). ✓ Nativo
SCIM 2.0 (aprovisionamiento) Sincronización automática de usuarios y grupos desde el IdP. ✓ Nativo

Todos los protocolos están incluidos en el plan Business y superiores, sin coste por usuario adicional ni licencia "Enterprise Security" separada.

Active Directory y LDAP/LDAPS

El caso más habitual en empresas medianas con dominio Windows. Dokuflex se conecta al controlador de dominio vía LDAPS (LDAP sobre TLS) y autentica al usuario sin almacenar nunca la contraseña.

Lo que se configura en menos de 1 hora:

  • URL del DC: ldaps://dc.empresa.local:636
  • Bind DN técnico (cuenta de servicio con permiso de lectura).
  • Base DN de búsqueda: OU=Usuarios,DC=empresa,DC=local
  • Mapeo de atributos: sAMAccountName, mail, memberOf para roles.
  • Filtro de pertenencia: solo usuarios del grupo CN=Dokuflex-Users,OU=Apps.

Para entornos híbridos (AD on-prem + Entra ID en la nube), recomendamos delegar autenticación a Entra ID con OIDC y reservar LDAP solo para integraciones de backoffice.

ADFS y SAML 2.0

Si tu empresa ya federa aplicaciones con ADFS o un IdP SAML (Okta, OneLogin, Ping Identity, Auth0, Keycloak, Shibboleth), Dokuflex se conecta como Service Provider en pocos pasos:

  1. Descargas los metadatos SP de Dokuflex (XML con entityID, ACS URL y certificado).
  2. Los importas en tu IdP como nueva Relying Party / Application.
  3. Defines los claims que viajan en la aserción SAML: NameID, email, groups, department.
  4. Subes los metadatos IdP en el panel de Dokuflex.
  5. Mapeas groups SAML → roles Dokuflex.

Soportamos SP-Initiated SSO, IdP-Initiated SSO, Single Logout (SLO), firma y cifrado de aserciones, y rotación automática de certificados.

OAuth 2.0 y OIDC con Google y Microsoft Entra ID

Para organizaciones con identidad en la nube, el flujo recomendado es OAuth 2.0 + OpenID Connect (authorization code + PKCE). Es el estándar moderno: rotación de tokens, refresh tokens, claims firmados con JWT.

M

Microsoft Entra ID

Registras Dokuflex como aplicación en tu tenant, configuras el redirect URI, defines scopes (openid, email, profile, groups) y opcionalmente exiges Conditional Access.

  • App Registration con redirect URI HTTPS.
  • Grupos Entra ID → roles Dokuflex.
  • Conditional Access (IP, dispositivo, riesgo de sesión).
  • MFA delegado a Entra ID (Authenticator app, FIDO2).
G

Google Workspace

Creas un OAuth Client en Google Cloud Console, restringes el dominio (hd=empresa.com) y mapeas los grupos de Workspace a roles.

  • Client ID + Client Secret en Google Cloud.
  • Restricción de dominio para impedir cuentas personales.
  • Grupos Workspace → roles Dokuflex via Directory API.
  • 2FA delegado a Google (Authenticator, Titan Key).

En ambos casos Dokuflex no almacena la contraseña ni el factor de autenticación: la sesión vive en tu IdP y Dokuflex solo recibe el token firmado.

CAS (Central Authentication Service)

CAS es el estándar dominante en universidades públicas, hospitales y administraciones públicas en España y Europa. Dokuflex implementa CAS 3.x como cliente:

  • Configuración del cas-server-url.
  • Validación del ticket de servicio con /serviceValidate.
  • Lectura de atributos (departamento, role) desde la respuesta CAS.
  • Logout federado (single sign-out) con notificación al CAS server.

Si tu organización trabaja con cl@ve, Cl@ve Firma, AutenticaIDP u otros IdP del sector público, también se integran sobre SAML 2.0 federado.

2FA / MFA: factores y políticas

Cuando el IdP corporativo ya impone MFA (Entra ID Conditional Access, Google 2-Step), Dokuflex lo respeta sin pedir un segundo factor adicional. Cuando no, lo aplica directamente en login.

Factores soportados:

  • TOTP (RFC 6238): Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden.
  • WebAuthn / FIDO2: YubiKey, passkeys de dispositivo (Touch ID, Windows Hello), llaves Titan.
  • SMS (con limitación recomendada por NIST para entornos sensibles).
  • Email OTP para usuarios externos sin smartphone corporativo.
  • Push notification desde la app móvil Dokuflex.
  • Certificado digital + DNIe como segundo factor en operaciones de firma.

Políticas configurables: obligatorio para administradores, condicional por rol, por IP (interna sin MFA / externa con MFA), por sensibilidad (firmar, exportar, aprobar > X€), y por inactividad de la sesión.

Aprovisionamiento automático (SCIM 2.0) y JIT

Más allá del login, Dokuflex se sincroniza con tu IdP en dos modos:

  • JIT (Just-In-Time): el usuario se crea automáticamente en Dokuflex la primera vez que entra vía SSO. Útil para SAML/OIDC con grupos como claims.
  • SCIM 2.0: sincronización proactiva desde Entra ID, Okta, OneLogin o Workspace. Crea, actualiza y desactiva usuarios y grupos en tiempo real desde el IdP, sin intervención manual.

Combinado: cuando RRHH da de baja a alguien en Workday/SAP SuccessFactors, el cambio fluye al IdP y de ahí a Dokuflex en minutos. Cero accesos huérfanos.

Cumplimiento normativo

El SSO/MFA de Dokuflex está diseñado para sostener auditorías de:

ENS Alta

Control de acceso reforzado (op.acc.5/6/7), trazabilidad (op.mon.1) y MFA obligatorio en categorías ALTA.

NIS2

Artículo 21: control de acceso, MFA y gestión de identidad como medidas obligatorias.

ISO/IEC 27001

Controles A.9 (control de acceso) y A.8 (gestión de identidades), trazabilidad completa.

RGPD

Minimización (solo claims necesarios) y principio de menor privilegio para datos personales.

Cada autenticación, intento fallido, cambio de factor MFA y modificación de política queda registrado en el log inmutable de Dokuflex, exportable a tu SIEM (Splunk, QRadar, Elastic, Sentinel) vía syslog o API.

Checklist para CISO antes del despliegue

  • 1. IdP autoritativo elegido: Entra ID, Google Workspace o ADFS como fuente única.
  • 2. MFA aplicado a administradores: obligatorio con WebAuthn/FIDO2 como primer factor recomendado.
  • 3. Cuenta break-glass: una cuenta local de emergencia con MFA reforzado y registro de uso, fuera del IdP.
  • 4. Mapeo de roles validado: grupos del IdP ↔ roles de Dokuflex documentados y aprobados por negocio.
  • 5. SLO probado: que cerrar sesión en el IdP cierre la sesión en Dokuflex.
  • 6. Logs conectados al SIEM: eventos de autenticación enviados al centro de operaciones de seguridad.
  • 7. Política de sesión: tiempo de vida del token, reautenticación para acciones sensibles, IP allowlist si aplica.

Preguntas frecuentes

¿Qué estándares de autenticación soporta Dokuflex? +

Active Directory (LDAP/LDAPS), ADFS, SAML 2.0, OAuth 2.0, OpenID Connect, Microsoft Entra ID, Google Workspace, Okta, CAS, Kerberos/SPNEGO, certificado digital + DNIe y SCIM 2.0 para aprovisionamiento. Sobre cualquiera de ellos, 2FA/MFA con TOTP, WebAuthn/FIDO2, SMS, email y push.

¿Cuánto se tarda en integrar Dokuflex con nuestro AD? +

Una integración estándar con AD/LDAP se configura en menos de 1 hora. Para ADFS o SAML el despliegue típico es de 2 a 4 horas incluyendo intercambio de metadatos, certificados y pruebas con usuarios piloto. Te acompaña un ingeniero durante la sesión.

¿Se puede activar 2FA solo para administradores o ciertos roles? +

Sí. Políticas de MFA por rol, grupo, origen de red (IP/CIDR) y sensibilidad de la acción (firmar, aprobar pago, exportar datos). Por defecto el MFA es obligatorio para administradores.

¿Funciona el SSO con usuarios externos o partners? +

Sí. Multi-IdP simultáneos: AD interno para empleados, OIDC con Google o Microsoft para colaboradores externos, autenticación local para proveedores puntuales. Cada flujo con su política MFA, su mapeo de roles y su auditoría.

¿Qué cumplimiento normativo aporta el SSO de Dokuflex? +

Alineado con ENS Alta, ISO/IEC 27001, NIS2 (control de acceso reforzado), RGPD (minimización y control de acceso) y eIDAS2 combinado con firma cualificada. Todo registrado en log inmutable de auditoría.

¿Se puede deshabilitar la autenticación local cuando hay SSO? +

Sí. Una vez validado el SSO, se fuerza que el 100% del acceso pase por el IdP corporativo, dejando solo una cuenta de break-glass con MFA reforzado y registro de uso. Es la configuración recomendada en organizaciones con NIS2 o ENS Alta.

Próximo paso

Conecta Dokuflex a tu identidad corporativa esta semana

Te entregamos un sandbox con metadatos SAML/OIDC en 24h y una sesión de 60 min con nuestro ingeniero de identidad para integrarlo contra tu Entra ID, ADFS, AD, Google Workspace, Okta o CAS.

Solicitar sandbox + sesión técnica Ver arquitectura de seguridad Empieza gratis